Simplificando (mucho, mucho) el proceso de autenticacion, el proceso de envio de password del cliente al servidor no va en limpio. Se hace un hash en el que interviene el nonce, de manera que lo que recibe el AP es algo ya hasheado con ese nonce. Si los dos puntos tienen el password en limpio, todo funciona bien. Pero si no tienes la password en limpio, tendrías que hacer fuerza bruta. Tu podrías enviar el nonce que desees desde el AP pero no tendrías de vuelta el password en limpio si no algo hasheado. SI haces la petición al AP original te da otro nonce, por lo que no es posible usar el mismo hash para otra autenticación. El proceso de wpa tiene aparte otras medidas de seguridad contra repeticiones y cosas asi. No tengo en mente ahora todo el proceso concreto, pero mayormente creo que eso contesta por que no puedes obtener la pass en claro mediante el proceso de autenticación común de wpa.